Categoria: Malware

O malware Lemon_Duck cryptominer agora tem como alvo dispositivos Linux

O malware criptominerante Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH, para explorar sistemas Windows vulneráveis ​​a SMBGhost e para infectar servidores que executam instâncias de Redis e Hadoop.

Lemon_Duck (identificado no ano passado pela Trend Micro e examinado posteriormente pela SentinelOne ) é conhecido por ter como alvo redes corporativas, obtendo acesso sobre o serviço MS SQL por meio de força bruta ou o protocolo SMB usando EternalBlue de acordo com Ophir Harpaz da Guardicore.

Procurando por Linux e aplicativos em nuvem: Para encontrar dispositivos Linux que se podem infectar como parte de ataques de força bruta SSH, Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à Internet escutando na porta TCP 22 usada para login remoto SSH. Para se certificar de que também sobreviverá entre as reinicializações do sistema, o malware tentará ganhar persistência adicionando um cron job, em seguida, Lemon_Duck procura mais dispositivos Linux para descartar payloads coletando credenciais de autenticação SSH do arquivo /.ssh/known_hosts.

Fonte: Bleepin

Malware TrickBot agora está infectando sistemas Linux / UNIX

A plataforma de malware Anchor do TrickBot foi portada para infectar dispositivos Linux e comprometer ainda mais alvos de alto impacto e alto valor usando canais secretos.

O TrickBot é alugado por agentes de ameaças que o usam para se infiltrar em uma rede e colher qualquer coisa de valor. Em seguida, ele é usado para implantar ransomware, como Ryuk e Conti, para criptografar os dispositivos da rede como um ataque final.

Chamado Anchor_DNS, o malware é usado em alvos de alto valor e alto impacto com informações financeiras valiosas.
Além das implantações de ransomware por meio de infecções do Anchor, os autores do TrickBot Anchor também o usam como backdoor em campanhas do tipo APT que têm como alvo sistemas de ponto de venda e financeiros.

Com esta evolução do malware TrickBot, é cada vez mais importante que os sistemas Linux e dispositivos IoT tenham proteção e monitoramento adequados para detectar ameaças como Anchor_Linux

Fonte: Bleeping

Malware Lucifer cryptomining DDoS agora tem como alvo sistemas Linux

Uma botnet DDoS híbrido conhecido por transformar dispositivos Windows vulneráveis ​​em bots de criptominação Monero agora também está procurando e infectando sistemas Linux.

Lucifer cryptomining para Linux vem com recursos semelhantes aos do Windows, incluindo módulos projetados para criptojacking e para lançar ataques baseados em TCP, UCP e ICMP

Além disso, os dispositivos Linux infectados por Lucifer também podem ser usados ​​em ataques DDoS baseados em HTTP (incluindo inundações HTTP GET e POST e ataques DDoS HTTP ‘CC’)

A lista completa de ataques DDoS que podem ser iniciados usando dispositivos infectados pelo Lucifer está disponível na tabela abaixo.

Fonte: Bleeping

Malware Drovorub de fabricação russa, direcionado para Linux

“Drovorub é um conjunto de ferramentas de malware Linux que consiste em um implante [cliente] acoplado a um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos e encaminhamento de portas e um servidor de Comando e Controle (C2)” – National Security Agency

Agência de Segurança Nacional está alertando sobre as operações de espionagem do Russian Intelligence Directorate (GRU) usando um conjunto de ferramentas de malware Linux anteriormente não divulgado, chamado Drovorub.

A estrutura maliciosa tem vários módulos que garantem sigilo, persistência e acesso completo à máquina comprometida com os mais altos privilégios.

O lado do cliente do malware pode se comunicar diretamente com a infraestrutura C2 do agente da ameaça, tem recursos de upload / download de arquivos, executa comandos arbitrários com privilégios de ‘raiz’ e pode encaminhar o tráfego de rede para outras máquinas na rede.

De acordo com o relatório, o rootkit é muito bem-sucedido em se esconder em uma máquina infectada e sobrevive a reinicializações “a menos que a inicialização segura UEFI [Unified Extensible Firmware Interface] esteja habilitada no modo” Completo “

Uma das recomendações é habilitar o mecanismo de verificação de inicialização segura UEFI (aplicação completa ou completa), que permite que apenas módulos de kernel legítimos sejam carregados. No entanto, isso não protege contra a vulnerabilidade BootHole divulgada recentemente até que uma atualização DBX permanente surja.

Fonte: Bleeping

Melhor proteção de segurança contra sites de roubo de senhas e de identidade

Muitos ataques de Malware baseados na Web usam servidores Web legítimos para hospedar os executáveis ​​de Malware. Da mesma forma, é possível que os ataques de phishing hospedem suas páginas da Web nos servidores de organizações respeitáveis, que os criminosos conseguiram comprometer. Uma página de phishing deve ser reconhecida independentemente de onde está hospedada.

A Empresa AV-Comparatives divulgou as melhores opções do momento em proteção contra Sites de roubo de Senhas e de Identidade, o resultado dos testes foram divulgados em 22/07/2020

Os melhores foram:

1° Trend Micro com uma detecção de 95%

2° Bitdefender com uma detecção de 94%

3° Avira com uma detecção de 91%

4° Kaspersky com uma detecção de 90%

5% Avast com uma detecção de 86%

O grande destaque pela negativa vai para o Avast, extremamente usado no Brasil e só com 86% de detecção, percentagem muito baixa tendo em conta que ele é tido como eficiente por muitos usuários.

O destaque pela eficiência vai para Tred Micro e Bitdefender, na versão 2019 o Bitedefender alcançou 98%, muito provavelmente irá alcançar este numero lá mais para o final do ano.

Fonte: AV-Comparatives